das ergebnis lautet:

0 bytes size received / Se ha recibido un archivo vacio

Denke daran, während des Laufs von Combofix wieder Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen!

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code: Alles auswählenAufklappen

   ATTFilter

   File::
   C:\WINDOWS\system32\drivers\Npv70.sys
   Registry::
   [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]
            

2. Speichere dies als CFScript.txt auf Deinem Desktop
   
   
   
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
   NB: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


gruß

schrauber

so...das hätten wir dann auch.

Zitat:

ComboFix 08-07-14.2 - Yeah 2008-07-15 19:08:43.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.628 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Yeah\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Yeah\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\drivers\Npv70.sys
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\drivers\Npv70.sys

----- BITS: Possible infected sites -----

hxxp://fixaserver.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TCPSR
-------\Legacy_Npv70
-------\Service_Npv70


((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-14 20:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 19:59 . 2008-07-14 19:59 <DIR> d-------- C:\Deckard
2008-07-14 18:57 . 2008-07-14 18:57 <DIR> d-------- C:\Programme\Trend Micro
2008-07-14 18:35 . 2008-07-14 18:35 <DIR> d-------- C:\Programme\CCleaner
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\skypePM
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Skype
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:57 --------- d-----w C:\Programme\Garritan Personal Orchestra
2008-06-09 22:13 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Move Networks
2008-06-05 22:45 --------- d-----w C:\Programme\Skype
2008-06-05 22:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-06-05 22:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-04 15:15 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\DivX
2008-06-01 22:12 --------- d-----w C:\Programme\Logitech
2008-05-28 18:32 --------- d-----w C:\Programme\DivX
2008-05-28 18:28 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-28 18:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-28 18:17 --------- d-----w C:\Programme\Veoh Networks
2008-05-18 14:26 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Winamp
.

((((((((((((((((((((((((((((( snapshot@2008-07-15_16.19.11.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-15 14:15:33 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-15 17:08:28 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-15 14:15:33 294,912 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-15 17:08:37 327,680 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-15 14:15:33 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-15 17:08:28 98,304 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-07-15 14:15:33 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071520080716\index.dat
+ 2008-07-15 17:08:28 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071520080716\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 16:11 3644464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 15:18 307200]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"C:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"C:\\Programme\\Autodesk\\Backburner\\server.exe"=
"C:\\Programme\\Autodesk\\3ds Max 2008\\3dsmax.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Yeah\\Desktop\\emule\\emule.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-27 19:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 19:31:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 19:12:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\devldr32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 19:16:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-15 17:15:03
ComboFix2.txt 2008-07-15 14:20:30

8 Verzeichnis(se), 1,764,954,112 Bytes frei
9 Verzeichnis(se), 1,755,869,184 Bytes frei

148 --- E O F --- 2008-07-09 15:12:00

Hi,

Folge bitte der CCleaner Anleitung und mache danach einen Onlinescan:

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.

• Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
  Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
  => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
  => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
  => Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
  => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

gruß

schrauber

scheint als würde es noch ne weile dauern.
da ich wieder zur arbeit muss, melde ich mich dann morgen früh wieder.

status bis jetzt:
vier viren und neun infizierte objekte.

alles klar

Hallo,
sorry, wenn ich in diesem thread schreibe, aber ich habe genau das selbe problem, mit der selben fehlermeldung und dem blauen wallpaper mit der meldung.
selbst auf norton ghost 14 kann ich nicht mehr zugreifen.
nur mit der recovery cd, könnte ich meine system wieder her stellen.
nur das problem ist, das Ghost meinen raid 0 nicht erkennt, und somit müsste ich mein system auf einer anderen platte wieder her stellen, was ich sehr ungern machen würde.
lieber wäre mir, wenn ich den mist, den ich mir eingefangen hätte wieder los werde.
habe mich hier eingelesen, und schon mal den CCleaner wie beschrieben instal. und ausgeführt.
jetzt gerade hab ich den kaspersky onlinescan durchlaufen lassen.
wie soll ich weiter verfahren ?
oder ist es besser einen eigenen thread auf zu machen ?

ok, danke

Hi,

bitte eröffne einen eigenen Thread für dein Problem, sonst wird das zu unübersichtlich, danke .


gruß

schrauber

OK, hier habe ich einen eigenen Thread eröffnet

Danke Schrauber

guten morgen schrauber...

ich hab ganz schlechte neuigkeiten.
hab den rechner über nacht laufen lassen, damit kaspersky den check beenden kann. in der zeit muss irgendwas passiert sein, da ich wieder den blauen desktop mit der warnmeldung habe. zusätzlich war ein programm namens "antivirus xp 2008" geöffnet, dass ich mittels taskmanager geschlossen habe bzw. den prozess beendet habe. auf dem desktop hat sich auch das dazugehörige icon abgelegt.

aber hier erstmal das ergebnis von kaspersky:

Zitat:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 16. Juli 2008 07:25
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 15/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 853287
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 156453
Viren gefunden: 5
Infizierte Objekte gefunden: 10
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:36:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\places.sqlite-stmtjrnl Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Temp\Perflib_Perfdata_408.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Temp\~DFF732.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Veoh Networks\Veoh\client.log Das Objekt ist gesperrt übersprungen
C:\Programme\Veoh Networks\Veoh\upload.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000001.sys Infizierte Objekte: Trojan.Win32.Agent.mwo übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000004.sys Infizierte Objekte: Email-Worm.Win32.Zhelatin.vl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000009.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000012.sys Infizierte Objekte: Email-Worm.Win32.Zhelatin.vl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP2\A0000028.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP2\A0000035.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP3\A0000050.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP3\A0000055.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\userinit.exe Infizierte Objekte: Trojan-Downloader.Win32.Obitel.a übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Hi,

Halb so wild, das bekommen wir schon hin, hab Vertrauen .

Bin noch auf der Arbeit, heut Abend gegen sieben gehts in alter Frische weiter .


gruß

schrauber

das beruhigt mich so einigermaßen.
übrigens kann es gut sein, dass es durch diese ups-mail zustande kam.
meine freundin hatte, sofern ich das verstanden habe, irgendwas von paketen und anhängen erzählt...

bis später dann

Zitat:

C:\WINDOWS\system32\userinit.exe

Diese Datei bitte bei Virustotal überprüfen, Button Filter drücken und das Ergebniss hier posten.

===========================================================

Systemwiederherstellung deaktivieren und wieder aktivieren:

• •*Windows XP: Deaktiviere die
  Systemwiederherstellung
  •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
  •*Wähle den Reiter Systemwiederherstellung
  •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
  •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
  •*den Haken wieder entfernen und OK drücken
  •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

=========================================================

Lösche die Combofix.exe von Deinem Desktop, dann wieder von vorne


Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.

Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
TechSupportForum
http://www.techsupportforum.com/sect...s/ComboFix.exe

Sollten die Links nicht funktionieren
und/oder es zu Problemen mit dem Starten des Programmes kommen,
frag bitte bei uns nach
und teile uns detailliert mit, was passiert ist.

• speichere es auf deinem Desktop.

Während des Scans mit dem ComboFix soll(en):

• vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein

(Liste der zu deaktivierenden Programme)

• nichts am Rechner getan werden

• Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
• Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
• Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.

2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

• Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
• Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
  Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
• Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

• Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.

Bitte bei Unklarheiten oder Problemen
mit dem abstellen der Programme
VOR DEM SCAN mit dem ComboFix
bei uns nachfragen.

gruß

schrauber

hier schonmal das ergebnis von virustotal:

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.16.0 2008.07.16 Win-Trojan/Downloader.8192.LL
AntiVir 7.8.0.68 2008.07.16 TR/Dldr.Tiny.brm
Authentium 5.1.0.4 2008.07.15 W32/Trojan2.ATAB
Avast 4.8.1195.0 2008.07.16 Win32:Tiny-UR
AVG 7.5.0.516 2008.07.16 SHeur.BWIM
BitDefender 7.2 2008.07.16 Trojan.Downloader.Gadja.C
CAT-QuickHeal 9.50 2008.07.16 TrojanDownloader.Tiny.brm
ClamAV 0.93.1 2008.07.16 Trojan.Agent-30547
DrWeb 4.44.0.09170 2008.07.16 Trojan.DownLoad.1379
eSafe 7.0.17.0 2008.07.16 Win32.Agent.jen
eTrust-Vet 31.6.5959 2008.07.16 Win32/SillyDl.EUC
Ewido 4.0 2008.07.16 Downloader.Obitel.a
F-Prot 4.4.4.56 2008.07.15 W32/Trojan2.ATAB
F-Secure 7.60.13501.0 2008.07.16 Trojan-Downloader.Win32.Obitel.a
Fortinet 3.14.0.0 2008.07.16 W32/Agent.UP!tr.dldr
GData 2.0.7306.1023 2008.07.16 Trojan-Downloader.Win32.Obitel.a
Ikarus T3.1.1.26.0 2008.07.16 Trojan-Downloader.Win32.Tiny.brm
Kaspersky 7.0.0.125 2008.07.16 Trojan-Downloader.Win32.Obitel.a
McAfee 5339 2008.07.15 Generic Downloader.ab
Microsoft 1.3704 2008.07.16 Trojan:Win32/Agent.EE
NOD32v2 3273 2008.07.16 Win32/TrojanDownloader.Tiny.NDM
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.16 Trj/Agent.JEN
Prevx1 V2 2008.07.16 Malware Downloader
Rising 20.53.22.00 2008.07.16 -
Sophos 4.31.0 2008.07.16 Troj/Agent-HFU
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.16 Trojan Horse
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.16 TROJ_DLOADR.GG
VBA32 3.12.8.0 2008.07.16 Trojan-Downloader.Win32.StupidBot
VirusBuster 4.5.11.0 2008.07.16 Trojan.DL.Small.AOUG
Webwasher-Gateway 6.6.2 2008.07.16 Trojan.Dldr.Tiny.brm
weitere Informationen
File size: 8192 bytes
MD5...: 6b4ef50e3e21205685cea919ebf93476
SHA1..: 2da85de11a84682e8c56290891de5bc522714d9c
SHA256: 069e62a25e865f9c2c454d6b6014d58fd4e8ee85e536f42f0c2d105667faed02
SHA512: a79d80afb558daa31213e1e17fd321e989a4bcccae2a4027e695a5623dc66a6c
1d517c91a7edfd4b056719bda33631e5a7df4c24c658c12e64d5294fc72cdd02
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402114
timedatestamp.....: 0x487a2a23 (Sun Jul 13 16:15:31 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1168 0x1200 7.50 cefea9ba55d07cdcd0d28c32c463854b
.rdata 0x3000 0x27a 0x400 2.19 7f591670a26b8de8959174d0b4d01b2d
.data 0x4000 0x4 0x200 0.06 18249544c669afcf62faa0c99f5f09d9
.rsrc 0x5000 0x3a0 0x400 3.07 a814ae4ff569f7e51cbeb6819dba42fa

( 1 imports )
> KERNEL32.dll: lstrlenA, SleepEx, Sleep, QueueUserAPC, GetVersionExA, CloseHandle, CreateThread, lstrcpyA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3AD5EE0D0038C663204A001719A4940023BD373F

gerattert hat es übrigens nicht, als ich den punkt mit der systemwiederherstellung abgearbeitet habe.
mache mich jetz an combofix.

Hast Du deine Windows-CD zur Hand?